Por qué el cumplimiento de la HIPAA es vital para tu empresa

La HIPAA es la Ley de Portabilidad y Responsabilidad de los Seguros Médicos. Es la legislación que garantiza la privacidad y seguridad de tu información médica protegida (PHI). Abarca el modo en que los proveedores de atención médica y las empresas asociadas deben manejar tus datos y proteger tu información médica, y proporciona las normas necesarias para garantizar que los datos de la PHI se almacenen, manejen y accedan correctamente en todo momento.

También establece importantes multas y sanciones para las personas y organizaciones que manejen datos confidenciales de PHI y no cumplan las normas.

La PHI incluye los siguientes:

• Todos tus historiales médicos, como resultados de análisis de sangre o una resonancia magnética.
• Registros de facturación en la consulta del médico.
• Conversaciones (correos electrónicos, notas) sobre tu salud entre tú y el médico, tu médico y otro personal médico, o tu proveedor sanitario y tu compañía de seguros.

En un principio, solo los médicos, hospitales y compañías de seguros tenían que cumplir las especificaciones de la HIPAA, ya que eran las únicas personas y organizaciones con acceso a la PHI. Se conocen como Entidades cubiertas e incluyen cualquier organización que proporcione “tratamiento, pago y operaciones de atención médica”.

Las entidades cubiertas incluyen las siguientes:

• Médicos y sus consultorios
• Hospitales
• Farmacias
• Compañías de seguro
• HMO (organización para el mantenimiento de la salud)

Sin embargo, una actualización de 2013 aumentó el ámbito de aplicación de la HIPAA para tener en cuenta el creciente uso de la externalización y los proveedores en la nube en la atención médica. Cualquier servicio que transmita, almacene o reciba datos de la PHI se considera ahora un asociado comercial y tiene que cumplir la HIPAA.

Los asociados comerciales incluyen los siguientes:

• Un servicio de transcripción médica que presta servicios a un médico.
• Una empresa de SaaS que ofrece historias clínicas electrónicas en la nube para médicos.
• Una empresa de análisis que procesa datos médicos.

Para que una entidad cubierta o un socio comercial cumplan la HIPAA, deben hacer 4 cosas:

1. Disponer de salvaguardias para que los datos de la PHI estén siempre protegidos.
2. Restringir el acceso a los datos de la PHI únicamente a las personas necesarias para cumplir el objetivo previsto.
3. Disponer de Acuerdos de los negocios asociados (BAA) con los proveedores de servicios para garantizar la seguridad de los datos de la PHI.
4. Disponer de procedimientos y políticas para limitar el acceso a los datos de la PHI, y de formación para enseñar a los empleados y usuarios la seguridad y privacidad de los datos.

De las 4 normas de la HIPAA (Seguridad, Privacidad, Cumplimiento y Notificación de infracciones), la Norma de Seguridad de la HIPAA es a la que los desarrolladores tienen que prestar mucha atención.

Para las empresas de SaaS que deseen trabajar con proveedores de atención médica, organizaciones médicas o socios comerciales que ya trabajen en el sector, la norma de seguridad establece cómo la aplicación o el servicio debe gestionar los datos de la PHI.

Esta norma establece las salvaguardias técnicas que garantizan que el acceso a los datos esté controlado, que los datos estén seguros y que las personas estén debidamente autenticadas.

• Control de acceso. Deben existir políticas y procedimientos para garantizar que solo los usuarios autorizados puedan acceder a los datos de la PHI. Esto podría incluir identificadores únicos para cada usuario, procedimientos de acceso de emergencia y procedimientos de cifrado.
• Controles de auditoría. Deben existir mecanismos para registrar la actividad en el sistema y examinar el acceso de las personas.
• Controles de integridad. No se debe alterar ni destruir indebidamente ningún dato de la PHI y se deben establecer procedimientos para que los auditores puedan confirmar si esto ha sucedido.
• Seguridad de transmisión. Deben establecerse medidas de seguridad para garantizar que no se produzca ningún acceso no autorizado a los datos de la PHI mientras se transfieren a través de una red.

El uso de las normas de la HIPAA te abre las puertas a nuevos clientes en un mercado en crecimiento. El 67 % de las organizaciones de atención médica utilizan actualmente un servicio SaaS en su flujo de trabajo, y el 92 % de los proveedores de atención médica afirman que pueden ver un uso futuro del SaaS en su organización. Al aplicar las normas de la HIPAA, podrás acceder al sector de atención médica, que mueve 3 billones de dólares.

Si trabajas para cumplir la HIPAA, podrás llegar a 3 nuevas bases de clientes:

• Entidades cubiertas
  • El 80 % de los médicos y el 60 % de los hospitales utilizan ya historias clínicas electrónicas (EHR). Estas empresas exigen el cumplimiento de la HIPAA para cualquier servicio en la nube que utilicen.
• Asociados comerciales
  • Al igual que las entidades cubiertas, otros socios comerciales que procesan la PHI pueden estar seguros de que tu servicio también protegerá cualquier dato. A medida que crezca el mercado de la nube para la atención médica, las soluciones de terceros para asociados comerciales podrán comercializarse como tales.
• Tecnologías de salud y para llevar puestas
  • Aunque en la actualidad los dispositivos para llevar puestos no tienen por qué cumplir la HIPAA, la tendencia a compartir datos personales de salud a través de estos dispositivos y aplicaciones hace que estas empresas difuminen los límites entre lo que sí debe cumplir la HIPAA y lo que no.

Esto les permite a las empresas configurar Auth0 como un servicio de identidad y autenticación a fin de servir de elemento para satisfacer sus necesidades de cumplimiento de la HIPAA.